ファイアウォールの計画と設計の
5
つの手順
FIVE STEPS TO FIREWALL
PLANNING AND DESIGN
目次
概要 ...3 はじめに ...3 ファイアウォールの計画と設計のプロセス ...3 ステップ 1:組織のセキュリティー要件を特定する ...3 ステップ 2:総合的なセキュリティー ポリシーを定義する ...4 ステップ 3:ファイアウォールの基本概念を定義する ...4 ステップ 4:許可する通信を特定する ...5 ステップ 5:ファイアウォールのポリシー適用ポイントを特定する ...6 まとめ ...6 ジュニパーネットワークスについて ...7概要
当ホワイト ペーパーで提供するガイドラインは、効果的なファイアウォール導入の基盤となるセキュリティー ポリシーを作成する上で、組織が 参考にすべきベスト プラクティスの一部を構成します。このガイドラインは、ジュニパーネットワークスが提供するドキュメント『ファイアウォー ルの設計について』を要約したものです。『ファイアウォールの設計について』の PDF は、以下の URL から入手可能です。http://www. juniper.net/techpubs/en_US/learn-about/LA_FIrewallDesign.pdfはじめに
ファイアウォールの計画と設計のプロセス
みなさんご存じのように、ファイアウォールの設計には、ファイアウォールの設定だけでなく、はるかに多くの要素が必要になります。組織の 総合的なセキュリティー ポリシーを構成するプロセスによって、使用するファイアウォールの機能、ファイアウォールの適用場所、最終的なファ イアウォールの設定方法などが決まります。 ファイアウォール テクノロジは、パケット フィルター ファイアウォールから今日の次世代型ファイアウォールへと進化してきました。その各段階で、 複雑さを増すサイバースペースに対応し、リソースを保護し、不正な目的でファイアウォール攻略を目指すサイバー攻撃者の試みを阻止するた めの新しいサービスとソリューションが現れました。今日の最先端のファイアウォールには、ファイアウォールの進化の各段階で生まれた幅広 い機能とサービスが含まれます。 ファイアウォール設計には 5 つのタスクがあります。これは、ユーザー環境の異なる領域に対して、機能を限定した単一のファイアウォールの 導入を計画する場合と、全機能を装備した複数のファイアウォールの導入を計画する場合のいずれにおいても必要になります。 ステップ 1:組織のセキュリティー要件を特定する ネットワーク環境のセキュリティーを保護するには、組織のリソースやセキュリティー要件、現在のセキュリティーに対する姿勢を把握する 必要があります。この評価の実施方法について、ここにいくつかの案を示します。 • 保護が必要な対象を特定するための「棚卸し」を実施します。 • 環境の資産とリソースの一覧を作成します。次がその例です。 - 環境とネットワークを構成するハードウェアとソフトウェアなど、キャンパスに導入されているリソースを特定します。 - リソースを分類します。例えば、公開可能なデータベースと顧客対応システム、機密データが集中的に存在するリソース、旧式のセキュリ ティー デバイスなどを特定します。 - データを特定します。そのデータの取り扱いと保護の方法を指定します。リソースに定量値を割り当てます。データの機密度と使用者を検1
.
2
.
3
.
4
.
5
.
組織のセキュリティー要件を特定する
総合的なセキュリティー ポリシーを定義する
ファイアウォールの基本概念を定義する
許可する通信を特定する
ファイアウォールのポリシ
ー適用ポイントを特定する
図 1: 最適なファイアウォール設計のための 5 ステップのベストプラクティスステップ 2:総合的なセキュリティー ポリシーを定義する 企業は、その規模に関わらず、資産を安全に保護する前に、以下の要件を満たす効果的なセキュリティー ポリシーを準備する必要があります。 • すべてのネットワーク リソースと必要なセキュリティー要件を特定します。 • トポロジーにおいてシステムが追加または削除された場合に改訂されるネットワーク インフラストラクチャ マップを含めます。 • 組織のファイアウオールの基本概念を網羅します。 • 許可される通信とアクセス ポリシーを網羅し、従業員の職務と役割に基づいたアクセス権とアクセス レベルを定義します。 • セキュリティーに関する組織の文化と、セキュリティー ポリシーがどのように適用されるかを定義します。 • セキュリティーの脅威、脅威を阻止する方法、攻撃されてしまった場合の対応方法を定義します。 明確に文書化されたセキュリティー ポリシーは、ファイアウォールの保守と管理においてネットワーク管理者の指針になります。 表 1 は、独自のセキュリティー ポリシーを定義する際に使用できる、セキュリティー ポリシーに関するベスト プラクティスをまとめたものです。
表 1. キュリティー ポリシーの定義プロセス
タスク 手順 環境を定義します。 保護すべきサービスとシステムを特定します。保護対象を決定しないま まで、堅固なファイアウォールを導入することは不可能です。 リソース、ネットワークに必要不可欠なシステム、強力な防御戦術が必 要なその他のシステムを特定します。 以下の情報を特定するネットワーク図とマップを作成します。 • 環境内のすべてのホストの場所と、ホストで稼働するオペレーティン グ システム。 • ブリッジ、ルーター、スイッチなどその他のデバイスのタイプと場所。 • ターミナル サーバーとリモート接続のタイプと場所。 • すべてのネットワーク サーバーについての説明と場所(オペレーティ ング システム、インストール済みのアプリケーション ソフトウェア(バー ジョン番号を含む)、設定情報など)。 • 使用されているすべてのネットワーク管理システムの場所と説明 主な脅威をわかりやすい言葉で示し、セキュリティーが破られた場合にと るべきアクションを定義します。 システムに対する脅威を定義します。攻撃が特定され、解決された後に 管理者がとるアクションを定義します。次がその例です。 攻撃者の特定を試みるかどうか。試みる場合、どのようなソフトウェアま たはその他の方法を使用するか。起訴を計画するかどうか。管理者は ISP に連絡し、攻撃を報告するかどうか。 ステップ 3:ファイアウォールの基本概念を定義する ファイアウォールの基本概念は、ファイアウォールに厳密に適用される、サイトのセキュリティー ポリシーの一部であり、ファイアウォールが目 指す全体の目標を定義します。これは、すべての管理者がファイアウォールを導入する際に従うべき、書面によるガイドラインになります。リソー ス、アプリケーション、サービスをどのように保護するべきかを特定することで、ファイアウォール自体の定義と設定がはるかに容易になります。 ファイアウォールの基本概念は、ネットワークに新しいホストやソフトウェアを追加する際にも重要な存在になります。これは、現在のファイア ウォールの導入と、導入に影響した要因を、歴代の IT スタッフに継承する手段として機能します。 単純なファイアウォールであっても、設計、導入、保守する際のガイドになる、明確に文書化されたファイアウォールの基本概念が必要になり ます。ファイアウォールの基本概念がない場合、ファイアウォールそれ自体がセキュリティー上の問題になる可能性さえあります。表 2 は、ファ イアウォールの基本概念の確認文書に含められるコンポーネントの例をいくつか示したものです。タスク ステップ ファイアウォールの導入の目的を特定します。 主要な目標を定義します。 • 組織外から受ける脅威から保護するためか。 • 内部の攻撃から保護するためか。 • ユーザーのアクティビティを監視するためか。 • ネットワーク使用量の制御管理など、セキュリティーには関係ない用途 に関するものか。 完全性、機密性、可用性の点から目標を定義します。 管理容易性と複雑性を対比し、要件を定義します。 ファイアウォールの管理および更新方法を指定します。 • 使用するサブネットワークを特定します。 • ネットワーク アドレス変換(NAT)の使用予定の有無を指定します。 ネットワークのセキュリティー脆弱性を特定し、修正します。 • この情報は、ファイアウォールの基本概念の文書に記録し、履歴として 残します。 • 攻撃の構成要素を定義します。情報収集(偵察ミッション)を攻撃と みなすかどうか、あるいは 物理的な損害を与えるインシデントのみを 攻撃とみなすかなどを定義します。 ファイアウォールを本番導入する前に、ネットワークの完全性をテストし ます。 クが攻略されておらず、ウィルスに感染していないことを確認します。 ファイアウォールを導入する前に、ネットワークをテストして、ネットワー
表 2. ファイアウォールの基本概念のガイドライン
最小権限または最大権限についての総合的なアプローチやセキュリティーのスタンスを確立し、ネットワーク要件に応じてファイアウォールの基 本概念を展開する際の指針とすることができます。 • 最小権限—ネットワークをロックダウンします。LAN 内とインターネットに関連する両方向のすべてのネットワーク接続をブロックします。イ ンターゾーンとイントラゾーンのすべてのトラフィックをブロックした後に、ポリシー設定を介して選択的にブロックを解除できます。こうして、 ポリシー設定では正確かつ段階的に許可対象を定義できます。最小権限は、ファイアウォールの導入において一般的なアプローチです。 • 最大権限—ネットワーク内のすべてを信頼します。その後、ポリシーによって、必要に応じて特定のアクセスの拒否を指定し、アクセスを閉 じることができます。このアプローチは、ネットワーク アクティビティの続行中にファイアウォールをインラインで導入する場合に、しばしば 用いられます。最大権限アプローチを採用する場合、ネットワークを使用して行われる通常の業務を妨げることなく、ファイアウォールを導入 できます。 ステップ 4:許可する通信を特定する LAN 上での使用が許可されるネットワーク アクティビティのタイプ、インターネット サービスとアプリケーションでの使用が許可されるネット ワーク アクティビティのタイプを指定する利用規定を定義します。 効果的なファイアウォール ポリシーを設計するには、現在使われているアプリケーションを把握する必要があります。ネットワーク管理者は、 特にインターネットの使用に関して、そのすべてを認識しているとは限りません。従業員は、ソーシャル メディアやインスタント メッセージの アプリケーションがネットワークへのエントリ ポイントを開き、攻撃者のアクセスが容易になることを認識していない可能性もあります。許可さ れるアプリケーションとサービス、それらに関連するすべての既知のセキュリティー リスク、アプリケーションやサービスのセキュリティーの保 護手段のリストを管理することは、ベスト プラクティスの一つです。 従業員の役割と、それぞれの役割で許可されるアプリケーションに基づいて、組織のワークフローを理解し、文書化します。 収集したこれらの情報は、ファイアウォールの定義に役立ちます。自分で動き回る作業がほとんど終わったら、その後のファイアウォールの設 定は、単なるソフトウェアの設定タスクになります。 許可される通信とアクセス許可を定義する際には、それらの要件を適用するために導入を計画するファイアウォールのタイプを考慮に入れま す。レイヤー 3(ネットワーク層)まで稼働するパケットフィルタリング ファイアウォールと、レイヤー 4(トランスポート層)まで稼働するステーアプリケーション ファイアウォールが登場したため、IT チームはアプリケーションへのアクセスを細かく制御できるようになりました。アプリケー ション ファイアウォールは、アプリケーションとプロトコルを、関連するパケットとそのパケットが使用したポートを使って検査します。アプリケー ション ファイアウォールは、アプリケーション ト ラフィックやシステム サービス コールを監視、ブロックしたり、それまで広範囲で使用できてい たサービスとアプリケーションへのアクセスを制御できます。 許可されるサービスとアプリケーション、ユーザーのアクセス ワークフローを定義した後は、従業員が利用できる方法でこれらの情報を伝えるこ とが重要です。 ステップ 5:ファイアウォールのポリシー適用ポイントを特定する すべてのネットワークには、独自の特徴があり、ファイアウォールの導入ソリューションについても独自のものが必要です。多くの企業は、保護 すべき資産とアクセス ポイントに基づいて、環境全体で異なるタイプのファイアウォールを導入します。 ファイアウォールがどこに適用されるかに関係なく、ファイアウォールの設計が単純であれば、複雑なものより安全で管理が容易になる傾向があ ります。要件が特殊な場合にはファイアウォールも複雑になることがありますが、不必要に複雑な設計は、それ自体が設定エラーにつながります。 ポリシー適用ポイントの決定は、ファイアウォールの設計の基本です。原則的に、ファイアウォールの主な使用は、ポリシー適用ポイントと設定 を定義するためとします。ファイアウォールは一般にエッジ、またはプライベート LAN とインターネットなどのパブリック ネットワークとの境界 に導入されます。しかし DMZ(境界または踏み台ネットワークとしても知られている)など、 その他のファイアウォールのポリシー適用ポイントについても考慮する必要があります。ネットワークのこれらの領域では、ファイアウォールの 設計と適用は異なります。その理由は、表 3 で詳しく説明するように、特有のセキュリティー要件があるためです。 エッジ:インターネットに接するファイアウォール • インターネットからの不正アクセスからネットワークの境界を保護します。 • LAN の外部からのすべての形式の攻撃から、ホストを防御します。 • 認証済みユーザーは、LAN の外部から起動されたサービス拒否(DoS)攻撃とその他の形式のロックアウト攻撃を阻止して、必要なタスクを実 行することができます。 • LAN へのエントリ ポイントは、各パケットをチェックして通過を許可するかどうかを判定することで、ガードします。 コア:企業に接するファイアウォール • 企業のリソースを、ウィルスによるデータの盗難や DoS 攻撃など、内部の短絡的攻撃、偶発的攻撃、あるいは悪意のある攻撃から保護します。 • 出力トラフィックの処理ポリシーを提供します。 • 従業員が必要なインターネット サービスのみにアクセスできるようにします。 • 従業員がネットワークの使用で外部攻撃を引き起こさないように保護します。 DMZ のファイアウォール • 背後に内部 LAN のホストが安全に存在できる防御の最前線を設定するために、プライベート ネットワークの前面に安全性の低い領域を作成して、 セキュリティーを高めます。 • 原則的に、公的にアクセス可能なサーバーと防御ホストが含まれます。サーバーが攻撃された場合でも、LAN 内のホストの安全は確保されます。
表 3:ネットワーク領域とファイアウォールのポリシー適用ポイント
まとめ
組織にとって効果的なファイアウォールを導入するには、幅広いセキュリティー上の懸念や評価を考慮し、セキュリティー ポリシーとファイア ウォールの基本概念を導入する必要があります。これらの計画やプロセスが使用環境に必要なセキュリティーを提供します。この結果は、導入 すべきファイアウォールの数、タイプ、ポリシー適用ポイントに関する決定に影響を与えます。本資料で示した標準的な承認プラクティスに従う ことで、このタスクをより容易に実行できます。要約すると以下のとおりです。 保護すべき環境上のリソースやネットワークを識別するため、「棚卸し」を実施します。各リソースの一覧を作成し、特徴を明確にし、リソース に定量値と重要度を割り当てます — ネットワーク機器、公開可能な顧客対応サーバー、内部サーバー、その他すべての機器やデータ ストレー ジを識別します。機密データが集中的に存在するデバイスや旧式のデバイス、IT 部門が使用するデバイスに着目します。移動時のデータを安 全に保護するため、トランザクションを文書化します。 棚卸評価やネットワーク図とマップを含めたセキュリティー ポリシー文書を作成します。最初はインフラストラクチャをマッピングする動的ネット ワーク トポロジー アプリケーションを使用し、マシンを追加したりデータを入力した場合、自動的にマップを更新するようにします。システムに 対する脅威と、ファイアウォールを管理・維持する管理者がその脅威に対してどのように対応するかを定義します。セキュリティー ポリシーに、ファイアウォールのみに適用されるファイアウォールの基本概念の文書を含めます。将来を含め、管理者はこの文 書を指示書として活用することになります。ファイアウォールのセキュリティーに関する以下の目標を確認してください。そのファイアウォールは 外部攻撃から保護するものか、内部攻撃から保護するものか。ネットワーク使用量の制御管理のために使用するのか。複数のタイプのファイア ウォールが必要か。 許可される通信やプログラムのアクセス権限を識別する利用規定を定義します。組織のワークフローを考慮し、役割や個人に対して権限を割り 当てます。 使用環境に強力で効果的なセキュリティーを導入する際、これらの基本的なプロセスに従ってください。これらのガイドラインおよびその他の 重要なネットワークに関するトピックの詳細については、こちらをご覧ください。http://www.juniper.net/techpubs/en_US/learn-about/ index.html
